中國(guó)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞有多快？　美媒：領(lǐng)先美國(guó)20天

美媒稱(chēng)，今年3月，阿帕奇軟件基金會(huì)宣布它發(fā)現(xiàn)了其軟件中的一個(gè)重大瑕疵�，F(xiàn)在，這個(gè)瑕疵已眾所周知，堪稱(chēng)伊奎法克斯公司未修補(bǔ)的致命要害：黑客可借此盜走1.45億美國(guó)人的敏感信息。而防范黑客襲擊的中國(guó)公司則領(lǐng)先了一步。就在阿帕奇宣布這個(gè)消息一天之內(nèi)，中國(guó)國(guó)家安全信息漏洞庫(kù)(CNNVD)就發(fā)表了這個(gè)軟件漏洞的詳細(xì)內(nèi)容；而三天后它才出現(xiàn)在美國(guó)的官方數(shù)據(jù)庫(kù)中。那時(shí)，研究人員已記錄到全球利用這個(gè)錯(cuò)誤代碼的黑客襲擊潮。

據(jù)美國(guó)彭博新聞社網(wǎng)站10月19日?qǐng)?bào)道，根據(jù)網(wǎng)絡(luò)安全公司--“記錄未來(lái)”公司10月19日發(fā)表的研究報(bào)告，中國(guó)的優(yōu)勢(shì)通常非常大。報(bào)告顯示：根據(jù)兩年來(lái)中國(guó)與美國(guó)數(shù)據(jù)庫(kù)新增17940個(gè)漏洞的分析，雙方公布新發(fā)現(xiàn)漏洞信息的時(shí)間平均相距20天。

“記錄未來(lái)”公司首席執(zhí)行官克里斯托弗·阿爾伯格說(shuō)：“時(shí)間差距有點(diǎn)兒殘酷。黑客利用漏洞的速度極其迅速，這是因?yàn)楹诳椭�道進(jìn)入電腦系統(tǒng)的最佳途徑就是找到未修補(bǔ)的漏洞。”

“記錄未來(lái)”公司的研究結(jié)果只是最新證據(jù)，說(shuō)明美國(guó)軟件漏洞的公開(kāi)報(bào)告系統(tǒng)處于艱難掙扎狀態(tài)。美國(guó)商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所開(kāi)展的項(xiàng)目--美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)建立并隨時(shí)更新“常見(jiàn)漏洞和風(fēng)險(xiǎn)暴露”(CVEs)編目，由非營(yíng)利公司邁特公司維護(hù)。1999年邁特公司創(chuàng)建此編目時(shí)向?qū)＜姨峁┝擞酶鞣N化名代替的常見(jiàn)漏洞威脅的名稱(chēng)。國(guó)家漏洞數(shù)據(jù)庫(kù)從2005年起還增加了機(jī)構(gòu)可用于解決漏洞的內(nèi)容和資源。保持網(wǎng)絡(luò)安全更新應(yīng)以此為參照標(biāo)準(zhǔn)。

但是，數(shù)據(jù)庫(kù)依賴(lài)自愿式漏洞提交，主要來(lái)源是漏洞軟件制造商。中國(guó)人使用更廣泛的來(lái)源和方法，包括技術(shù)測(cè)試。

速度，或者說(shuō)缺乏速度，只是工業(yè)控制系統(tǒng)、醫(yī)療衛(wèi)生器材和聯(lián)網(wǎng)家電迫切需要更新以解決新型威脅和漏洞所面臨的問(wèn)題之一。“記錄未來(lái)”公司的分析報(bào)告發(fā)現(xiàn)：中國(guó)數(shù)據(jù)庫(kù)中的1746個(gè)“常見(jiàn)漏洞和風(fēng)險(xiǎn)暴露”根本未出現(xiàn)在美國(guó)的數(shù)據(jù)庫(kù)中。而美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)在商業(yè)服務(wù)方面也落后了。

據(jù)風(fēng)險(xiǎn)安全咨詢(xún)公司評(píng)估，完全依賴(lài)“常見(jiàn)漏洞和風(fēng)險(xiǎn)暴露”系統(tǒng)的機(jī)構(gòu)將漏掉近一半已披露的漏洞。根據(jù)風(fēng)險(xiǎn)安全咨詢(xún)公司的跟蹤記錄，2017年上半年報(bào)告的安全漏洞比去年同期增加了29%。軟件公司參數(shù)技術(shù)公司(PTC)首席安全官喬舒亞·科爾曼說(shuō)，隨著聯(lián)網(wǎng)家電以及所謂物聯(lián)網(wǎng)的發(fā)展，總體安全漏洞增長(zhǎng)在加速。

不過(guò)，科爾曼說(shuō)政府系統(tǒng)仍?xún)A向于商業(yè)軟件漏洞，工業(yè)控制系統(tǒng)和醫(yī)療衛(wèi)生器材得不到充分保護(hù)。軟件漏洞影響及其嚴(yán)重程度的打分系統(tǒng)也未跟上技術(shù)發(fā)展。導(dǎo)致應(yīng)用癱瘓的缺陷相對(duì)得分較低，而這種事情可能給自動(dòng)駕駛汽車(chē)或智能醫(yī)療器材造成毀滅性問(wèn)題�？茽柭�說(shuō)：“令我驚恐的是，導(dǎo)致最嚴(yán)重失誤后果的漏洞也是最不受重視的。如果是醫(yī)用泵，那會(huì)致命。如果是渦輪機(jī)，那會(huì)發(fā)生爆炸。”

今年3月，眾議院能源和商務(wù)委員會(huì)致信邁特公司和美國(guó)國(guó)土安全部(負(fù)責(zé)監(jiān)管邁特公司的“常見(jiàn)漏洞和風(fēng)險(xiǎn)暴露”項(xiàng)目合同)，要求提供邁特公司采取了哪些措施保護(hù)和提高美國(guó)的網(wǎng)絡(luò)安全行為。

科爾曼說(shuō)信息技術(shù)界或許必須在人力或資金方面多作貢獻(xiàn)。“記錄未來(lái)”公司首席數(shù)據(jù)學(xué)家比爾·拉德提出了一條明確的捷徑：派實(shí)習(xí)生去復(fù)制中國(guó)數(shù)據(jù)庫(kù)的東西。他說(shuō)：“我想任務(wù)很明確，要盡可能全面。中國(guó)的系統(tǒng)至少保證了有改進(jìn)余地。”(編譯/鄭國(guó)儀)

相關(guān)閱讀：德國(guó)專(zhuān)家提醒防范黑客入侵行車(chē)電腦

據(jù)新華社報(bào)道，德國(guó)安聯(lián)保險(xiǎn)集團(tuán)董事會(huì)成員約阿希姆·米勒１８日提醒，如果不做好防范工作，越來(lái)越多的汽車(chē)行車(chē)電腦將成為黑客攻擊的目標(biāo)。

據(jù)德新社報(bào)道，米勒表示，“現(xiàn)在的汽車(chē)就是會(huì)移動(dòng)的電腦”，當(dāng)行車(chē)電腦連接上互聯(lián)網(wǎng)后，黑客只需找到?jīng)]有防護(hù)措施的數(shù)據(jù)接入口，就可以侵入汽車(chē)控制系統(tǒng)。尤其較老一些的車(chē)型，行車(chē)電腦的防范措施往往不充分。

米勒說(shuō)，一旦行車(chē)電腦遭到攻擊，將有可能帶來(lái)致命危險(xiǎn)，例如黑客侵入后隨意進(jìn)行剎車(chē)操作等。

米勒還認(rèn)為，以往黑客攻擊行車(chē)電腦只是零星個(gè)案，但今后幾年內(nèi)，這種攻擊聯(lián)網(wǎng)汽車(chē)的行為將不斷增加。

德國(guó)寶馬汽車(chē)公司“未來(lái)移動(dòng)”項(xiàng)目負(fù)責(zé)人邁克·博雷什也認(rèn)同米勒的提醒。博雷什說(shuō)，行車(chē)電腦中裝入沒(méi)有防護(hù)措施的數(shù)據(jù)接口，原本是方便汽車(chē)修理廠(chǎng)讀取尾氣排放數(shù)值，現(xiàn)在這個(gè)接口已經(jīng)有可能成為影響行車(chē)電腦安全的漏洞。

德國(guó)安聯(lián)保險(xiǎn)集團(tuán)成立于１８９０年，總部位于慕尼黑，是全球最大保險(xiǎn)和資產(chǎn)管理集團(tuán)之一。該集團(tuán)建議所有汽車(chē)生產(chǎn)商提高對(duì)行車(chē)電腦安全的重視。

德國(guó)汽車(chē)工業(yè)聯(lián)合會(huì)對(duì)此表示，德國(guó)汽車(chē)行業(yè)將認(rèn)真對(duì)待潛在威脅，充分保障駕駛員和乘客安全